Telegram исправил уязвимость нулевого дня для клиента Windows

В Telegram исправили уязвимость нулевого дня в настольном приложении для Windows, которую можно было использовать для обхода предупреждений безопасности и автоматического запуска скриптов Python.Так, на хакерском форуме XSS было опубликовано доказательство концепции эксплойта, в котором объяснялось, что опечатка в исходном коде Telegram для Windows может быть использована для отправки файлов Python .pyzw, которые обходят предупреждения безопасности.

Файл автоматически запускается, когда пользователь кликает на фишинговое видео.В Telegram не считают, что ошибка связана с нулевым щелчком мыши, но подтверждает, что исправили её на стороне сервера.

Также в мессенджере опровергли необходимость отключить автоматическую загрузку в Telegram, так как не выявили проблем, связанных с ней.Уязвимость могла затронуть лишь небольшую часть пользователей: менее 0,01% установили Python и используют соответствующую версию Telegram для ПК.В BleepingComputer спросили у представителей Telegram, откуда они знают, какое программное обеспечение установлено на устройствах Windows пользователей, поскольку этот тип данных не упоминается в Политике конфиденциальности.Выяснилось, что клиент Telegram Desktop отслеживает список расширений, связанных с высокорисковыми, например исполняемыми, файлами.